circle-info
Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.
search
Go to glueckkanja Website

Berechtigungen

hashtag
Übersicht

Diese Seite beschreibt die Berechtigungen, Konfigurationsanforderungen und das Zugriffsmodell für diesen Agenten. Der Agent verwendet Lesezugriff zu Microsoft Purview- und Microsoft Security Copilot-Daten. Sein Zweck ist es, Muster der Datenklassifizierung, DLP-Richtlinienaktivitäten und Sicherheitsinformationen zu analysieren, ohne irgendwelche Konfigurationen zu ändern.

hashtag
Funktionsweise

Der Agent verbindet sich sicher mit Ihrem Mandanten über Microsoft Graph-API-Endpunkte, um Microsoft Purview-Klassifizierungs- und DLP-Daten zu lesen. Er analysiert diese Signale, um Muster zu identifizieren, die Abdeckung zu bewerten und Empfehlungen zur Verbesserung der Datenschutzlage zu geben.

Alle Interaktionen folgen diesen Grundsätzen:

  • Schreibgeschützter Zugriff: Der Agent ändert oder erstellt keine Konfigurationen, Richtlinien oder Klassifizierer.

  • Minimalprinzip (Least Privilege): Es sind nur die minimalen Berechtigungen erforderlich, um Purview- und Sicherheitsdaten zu lesen.

  • Transparenz: Der gesamte Datenzugriff erfolgt über dokumentierte Graph-API-Endpunkte und ist in Microsoft Entra prüfbar.

hashtag
Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

Rolle
Beschreibung

Compliance-Datenadministrator

Bietet schreibgeschützten Zugriff auf Microsoft Purview-Klassifizierungs- und DLP-Daten.

Security Reader

Gewährt schreibgeschützte Einsicht in Sicherheitsereignisse und -warnungen.

Global Reader (optional)

Ermöglicht schreibgeschützten Zugriff über Microsoft 365-Dienste hinweg für domänenübergreifende Datenkorrelation.

circle-info

Diese Rollen folgen dem Prinzip der minimalen Privilegien. Passen Sie sie an die Sicherheits- und Compliance-Anforderungen Ihrer Organisation an.

hashtag
Transparenz beim Datenzugriff

Die folgende Tabelle legt dar, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.

Datentyp
Zugriffslevel
Zweck

Purview-Klassifizierungs- und Kennzeichnungsdaten

Schreibgeschützt

Um die Verteilung der Datensensitivität und die Wirksamkeit von Richtlinien zu bewerten.

DLP-Richtlinienübereinstimmungsereignisse

Schreibgeschützt

Um Trends beim Datenverlust zu analysieren und Bereiche mit Verbesserungsbedarf bei der Abdeckung zu identifizieren.

Sicherheitsinformationen und -warnungen

Schreibgeschützt

Um Datenschutzereignisse mit breiteren Sicherheitsindikatoren zu korrelieren.

Mandantenkonfigurations-Metadaten

Schreibgeschützt

Um Ergebnisse zu kontextualisieren, ohne Konfigurationsänderungen vorzunehmen.

Datenverarbeitung:

  • Der Agent ändert oder exportiert keine Kundendaten außerhalb der Mandantengrenze.

  • löscht oder exportiert Kundendaten außerhalb der Mandantengrenze. Microsoft Graph-API Alle Zugriffe sind auf das

  • unter Verwendung delegierter oder Anwendungsberechtigungen begrenzt. Microsoft Entra-Prüfprotokollen zur Transparenz und Überprüfung der Compliance.

hashtag
Agenteneinstellungen

Beim Ausführen des Agenten können die folgenden Parameter konfiguriert werden, um die Analysetiefe und den Zeitbereich zu steuern.

Einstellung
Optionen
Beschreibung

Zeitraum

30, letzte_30_Tage, 2025-01-01/2025-01-31

Definiert das Zeitfenster für die Analyse von Klassifizierungs- und DLP-Ereignissen.

Modus

schnell, standard, tief

Bestimmt die Analysetiefe und die Ressourcennutzung. • schnell — Schnelle Analyse mit begrenzten Empfehlungen. • standard — Ausgewogene Tiefe und Leistung (empfohlen). • tief — Umfassende Analyse mit detaillierten Statistiken und erweiterten Erkenntnissen (verwendet mehr SCUs).

circle-info

Der Agent benötigt mindestens 30 Tage Klassifizierungs- und Erkennungsdaten für aussagekräftige Ergebnisse.

hashtag
Sicherheits- und Compliance-Überlegungen

  • Alle Kommunikationen mit Microsoft Graph sind mittels HTTPS verschlüsselt und durch Microsoft-Identitätsdienste geschützt.

  • Der Agent stimmt mit Microsofts Zero-Trust und Prinzipien des geringsten Privilegs .

  • Zugriffe können jederzeit über Entra ID-Rollenassignments oder Verwaltung der Anwendungszustimmung.

hashtag
Nächste Schritte

  • Überprüfen Sie, ob das Administratorkonto alle erforderlichen Rollen zugewiesen hat.

  • Stellen Sie sicher, dass Purview-Klassifizierungs- und DLP-Richtlinien aktiv sind und mindestens 30 Tage Daten vorliegen.

VorherigeÜbersichtNächsteÄnderungsprotokoll

Zuletzt aktualisiert

War das hilfreich?